Si su empresa ya cuenta con el canal de denuncias y quiere hacer una denuncia puede hacerla aquí.

Denunciar

Si su empresa ya cuenta con el canal de denuncias y quiere hacer una denuncia puede hacerla aquí.

Denunciar

Using Framer React Export version 2.25.3
Using Framer React Export version 2.25.3

Blog

Compliance

SAGRILAFT en Colombia: requisitos, implementación y gestión real del riesgo en el sector real

SAGRILAFT en Colombia: requisitos, implementación y gestión real del riesgo en el sector real

Compliance

5 minutos

-

2026-04-07

Blog

Compliance

SAGRILAFT en Colombia: requisitos, implementación y gestión real del riesgo en el sector real

SAGRILAFT en Colombia: requisitos, implementación y gestión real del riesgo en el sector real

Compliance

5 minutos

-

2026-04-07

Blog

Compliance

SAGRILAFT en Colombia: requisitos, implementación y gestión real del riesgo en el sector real

SAGRILAFT en Colombia: requisitos, implementación y gestión real del riesgo en el sector real

Compliance

5 minutos

-

2026-04-07

Using Framer React Export version 2.25.3

SAGRILAFT en Colombia: más que una obligación normativa

En Colombia, el Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos y Financiación del Terrorismo (SAGRILAFT) se ha consolidado como un componente central del cumplimiento corporativo en el sector real.

Lejos de ser un requisito meramente formal, el SAGRILAFT responde a una necesidad estructural: prevenir que las organizaciones sean utilizadas como vehículos para el lavado de activos, la financiación del terrorismo o la canalización de recursos ilícitos.

En la práctica, esto implica adoptar un enfoque basado en riesgos que atraviesa toda la operación de la empresa, desde la vinculación de contrapartes hasta la gestión de alertas e investigaciones internas.

Qué es el SAGRILAFT y a qué empresas aplica

El SAGRILAFT es un sistema de gestión de riesgos exigido por la Superintendencia de Sociedades para determinadas empresas del sector real en Colombia. Su objetivo es identificar, evaluar, controlar y monitorear los riesgos asociados a LA/FT.

Empresas obligadas

Deben implementar SAGRILAFT:

  • Sociedades comerciales con ingresos o activos superiores a los umbrales definidos por la regulación
  • Empresas de sectores específicos como:
    • Inmobiliario
    • Construcción
    • Minería
    • Comercialización de vehículos
    • Servicios jurídicos y contables

En estos sectores, los umbrales suelen ser más bajos, lo que amplía significativamente el universo de sujetos obligados.

Marco normativo del SAGRILAFT en Colombia

El sistema se inserta dentro del ecosistema ALA/CFT colombiano, alineado con estándares internacionales del GAFI.

Normativa clave

  • Ley 526 de 1999: crea la UIAF y establece el sistema de inteligencia financiera
  • Ley 599 de 2000: tipifica el delito de lavado de activos
  • Ley 1121 de 2006: fortalece la prevención de la financiación del terrorismo
  • Ley 1762 de 2015: incorpora medidas contra el contrabando y delitos asociados
  • Decreto 830 de 2021: regula el tratamiento de Personas Expuestas Políticamente (PEP)
  • Circular Externa 100-000016 de 2020 (Supersociedades): establece el régimen SAGRILAFT

Este marco obliga a las empresas a implementar sistemas efectivos, no meramente documentales.

Relación entre SAGRILAFT, SARLAFT y el sistema ALA/CFT

El modelo colombiano distingue entre distintos sistemas según el tipo de organización:

  • SARLAFT: aplicable al sector financiero (supervisado por la Superintendencia Financiera)
  • SAGRILAFT: aplicable al sector real (supervisado por la Superintendencia de Sociedades)

Ambos comparten un enfoque basado en riesgos, pero el SAGRILAFT incorpora una mirada más amplia sobre:

  • Beneficiario final
  • Estructuras societarias
  • Relación con proveedores y socios
  • Riesgos reputacionales y de integridad

Estructura del SAGRILAFT: del diseño a la operación

El SAGRILAFT se construye sobre un modelo de gestión de riesgos que debe ser dinámico, documentado y proporcional al perfil de la empresa.

1. Identificación del riesgo

Se analizan factores como:

  • Contrapartes (clientes, proveedores, socios, empleados)
  • Productos y servicios
  • Canales de distribución

Jurisdicciones

Este análisis permite detectar dónde puede materializarse el riesgo LA/FT.

2. Medición y evaluación

Se implementa una matriz de riesgos que considera:

  • Probabilidad
  • Impacto

Esto permite segmentar contrapartes y operaciones según nivel de riesgo (bajo, medio, alto).

3. Control y mitigación

Incluye:

  • Debida diligencia (KYC/KYP)
  • Identificación de beneficiario final
  • Cruce en listas restrictivas
  • Aplicación de debida diligencia reforzada (especialmente para PEP)

4. Monitoreo y detección

El sistema debe permitir:

  • Detectar señales de alerta
  • Analizar desviaciones en perfiles transaccionales
  • Escalar casos para evaluación técnica, integrando capacidades de análisis e investigación interna que hoy están siendo potenciadas por tecnologías avanzadas, como se describe en este análisis sobre el impacto de la tecnología y la IA en investigaciones internas

5. Reporte

Las empresas deben reportar a la UIAF:

  • ROS (Reporte de Operaciones Sospechosas)
  • AROS (Ausencia de Reporte de Operaciones Sospechosas)

6. Auditoría y mejora continua

El sistema debe ser evaluado periódicamente para asegurar su efectividad y actualización frente a nuevas tipologías de riesgo.

Controles críticos y errores frecuentes en la implementación

En la práctica, los principales puntos de falla en SAGRILAFT no están en el diseño, sino en la ejecución.

Controles críticos

  • Oficial de Cumplimiento con autonomía real
  • Canal de denuncias efectivo y seguro, que permita no solo la recepción de reportes sino también su gestión integral y trazabilidad, como se desarrolla en este análisis sobre cómo funciona un canal de denuncias moderno
  • Protocolos de investigación interna
  • Evidencia documental trazable
  • Matriz de riesgo actualizada

Errores frecuentes

  • Sistemas “de papel” sin implementación real
  • Debida diligencia incompleta o desactualizada
  • Falta de documentación de decisiones
  • Subregistro de alertas o denuncias, muchas veces asociado a la falta de confianza en el sistema o a deficiencias en su diseño
  • Falta de integración entre áreas

Estos aspectos son especialmente observados por la Superintendencia de Sociedades en procesos de supervisión.

El rol del Oficial de Cumplimiento

El Oficial de Cumplimiento es un actor central del sistema. Debe:

  • Tener autonomía y capacidad de decisión
  • Reportar directamente a la alta dirección
  • No depender de áreas comerciales
  • Supervisar la implementación efectiva del sistema

Su rol no es operativo, sino estratégico: garantizar la integridad del modelo de gestión de riesgos.

SAGRILAFT, gobierno corporativo y sostenibilidad

El SAGRILAFT no opera de forma aislada. Es parte del sistema de gobierno corporativo y tiene impacto directo en la sostenibilidad del negocio.

Gobierno corporativo

  • Permite toma de decisiones informada
  • Refuerza la rendición de cuentas
  • Alinea el cumplimiento con la estrategia

Sostenibilidad

  • Protege la reputación corporativa
  • Facilita relaciones con bancos y partners internacionales
  • Reduce exposición a sanciones y riesgos legales

Hoy, el cumplimiento es un componente clave de los criterios ESG, particularmente en el eje de gobernanza, donde la cultura ética y los mecanismos de reporte juegan un rol central, como se desarrolla en enfoques recientes sobre riesgos emergentes en compliance y sostenibilidad

Qué evalúan los reguladores (y dónde fallan las empresas)

En procesos de supervisión, el foco no está en la existencia del sistema, sino en su efectividad.

Los reguladores evalúan:

  • Evidencia de debida diligencia
  • Trazabilidad de alertas
  • Documentación de análisis
  • Funcionamiento del canal de denuncias
  • Independencia del Oficial de Cumplimiento

Las principales brechas suelen aparecer en la falta de evidencia y en la desconexión entre política y práctica.

De la norma a la gestión real del riesgo

El principal desafío del SAGRILAFT no es normativo, sino operativo.

Las organizaciones que logran madurez en su sistema son aquellas que:

  • Integran el cumplimiento en la operación diaria
  • Utilizan tecnología para gestionar riesgos
  • Articulan denuncias, investigaciones y controles
  • Generan evidencia consistente

En este contexto, el SAGRILAFT deja de ser un requisito para convertirse en una herramienta de gestión empresarial.

Conclusión

En el contexto actual, el desafío ya no es implementar SAGRILAFT, sino demostrar su efectividad frente a reguladores, auditores y terceros relevantes.

Esto implica ir más allá del diseño documental y avanzar hacia esquemas que integren gestión de riesgos, canales de denuncia confiables y capacidades consistentes de investigación interna.

En Resguarda acompañamos a organizaciones en la evaluación y fortalecimiento de sus sistemas de cumplimiento, con un enfoque práctico orientado a la evidencia y a la mejora continua.

Si su organización está revisando su SAGRILAFT o necesita validar su nivel de efectividad, contar con una mirada experta puede marcar la diferencia.